Un attaquant a drainé 116 500 rsETH du pont LayerZero de Kelp DAO, déclenchant des gels d'urgence sur neuf protocoles et une chute de 6 milliards de dollars du TVL d'Aave.
Kelp DAO, un protocole de liquid restaking avec 1,57 milliard de dollars de TVL, a perdu environ 293 millions de dollars le 18 avril après qu'un attaquant a exploité une faille dans son pont cross-chain alimenté par LayerZero, ce qui en fait le plus grand exploit DeFi de 2026.
L'attaquant a forgé un message cross-chain via la couche de messagerie LayerZero, trompant le pont de Kelp en lui faisant croire qu'une instruction valide était arrivée d'un autre réseau. Le pont a alors libéré 116 500 rsETH, soit environ 18 % de l'offre en circulation totale du token, vers une adresse contrôlée par l'attaquant.
En quelques minutes, les rsETH volés ont été déposés comme garantie sur le protocole de prêt Aave, où l'attaquant a emprunté plus de 200 millions de dollars en wrapped ether avant que la communauté ne détecte la garantie non adossée. Kelp a activé ses contrôles d'urgence environ 46 minutes après l'exploit initial, gelant les dépôts, les retraits, les fonctions oracle et le token rsETH lui-même.
Les dégâts se sont étendus bien au-delà de Kelp. Au moins neuf protocoles DeFi se sont empressés de geler les marchés ou de déployer des mesures de contrôle des dommages. Aave a enregistré une baisse de 6 milliards de dollars de la valeur totale verrouillée, et son token AAVE a chuté de 16 % alors que les traders intégraient le risque de garanties non adossées dans les pools de prêt du protocole.
L'exploit met en lumière les vulnérabilités persistantes de l'infrastructure des ponts cross-chain. Malgré des années de piratages de ponts très médiatisés, la couche de messagerie LayerZero, qui sous-tend l'interopérabilité de dizaines de protocoles, s'est avérée vulnérable aux instructions forgées. L'incident soulève de nouvelles questions sur la façon dont les protocoles de liquid restaking gèrent la sécurité des ponts lorsqu'ils s'étendent sur plusieurs chaînes.
Les analystes suggèrent que la voie de récupération la plus réaliste consiste à négocier une prime de 10 à 15 % avec le hacker pour récupérer la majeure partie des fonds volés. Kelp DAO indique qu'il travaille avec LayerZero, des auditeurs et des sociétés de sécurité pour enquêter sur la cause profonde. Le fondateur d'Aave, Stani Kulechov, a confirmé que les contrats intelligents d'Aave n'ont pas été compromis, mais les marchés rsETH sur V3 restent gelés en attendant une résolution.
Il s'agit d'une histoire en développement. Kelp DAO a exhorté les utilisateurs à ne suivre que les canaux officiels pour les mises à jour alors que les efforts de récupération se poursuivent.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Avertissement: Le contenu des actualités est fourni à titre informatif uniquement et ne doit pas être considéré comme un conseil financier. Les conditions du marché peuvent changer rapidement. Effectuez toujours vos propres recherches.
